服务器Linux系统安全升级
一、summary随着互联网的发展,隐私以及安全被大家看的越来越重视,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题。
然而这也是我的薄弱之处,希望以本文告诫自己,时刻加强安全防护意识,不要存任何侥幸心理,中间可能会有遗漏的地方,也希望大家能留言告知,让我们所有运维的兄弟们都可以轻松的了解。
- 用户帐号安全
2.1 设定密码策略#!/bin/bash# Function: 实现对用户密码策略的设定,如密码最长有效期等read -p "设置密码最多可多少天不修改:" Aread -p "设置密码修改之间最小的天数:" Bread -p "设置密码最短的长度:" Cread -p "设置密码失效前多少天通知用户:" Dsed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS '$A'' /etc/login.defssed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS '$B'' /etc/login.defssed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN '$C'' /etc/login.defssed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE '$D'' /etc/login.defsecho "已设置好密码策略......"
2.2 、对用户密码强度的设定打开 /etc/pam.d/sysetm-auth文件 ,修改如下。我们设置新密码不能和旧密码相同,同时新密码至少8位,还要同时包含大字母、小写字母和数字。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
2.3 、对用户的登录次数进行限制打开/etc/pam.d/sshd文件,在#%PAM-1.0的下面,加入下面的内容,表示当密码输入错误达到3次,就锁定用户150秒,如果root用户输入密码错误达到3次,锁定300秒。锁定的意思是即使密码正确了也登录不了。
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
2.4、禁止ROOT用户远程登录
2.5、设置历史命令保存条数和账户超时时间#! /bin/bashread -p "设置历史命令保存条数:" Eread -p "设置账户自动注销时间:" Fsed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profilesed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile
2.6、设置只有指定用户组才能使用su命令切换到root用户在linux中,有一个默认的管理组 wheel。在实际生产环境中,即使我们有系统管理员root的权限,也不推荐用root用户登录。一般情况下用普通用户登录就可以了,在需要root权限执行一些操作时,再su登录成为root用户。但是,任何人只要知道了root的密码,就都可以通过su命令来登录为root用户,这无疑为系统带来了安全隐患。所以,将普通用户加入到wheel组,被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。
#! /bin/bash# Function: 修改配置文件,使得只有wheel组的用户可以使用 su 权限sed -i '/pam_wheel.so use_uid/c\auth required pam_wheel.so use_uid ' /etc/pam.d/sun=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`if [ $n -eq 0 ];thenecho SU_WHEEL_ONLY yes >> /etc/login.defsfi
2.7、对Linux账户进行管理#! /bin/bash# Function: 对系统中的用户做检查,加固系统echo "系统中有登录权限的用户有:"awk -F: '($7=="/bin/bash"){print $1}' /etc/passwdecho "********************************************"echo "系统中UID=0的用户有:"awk -F: '($3=="0"){print $1}' /etc/passwdecho "********************************************"N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`echo "系统中空密码用户有:$N"if [ $N -eq 0 ];then echo "恭喜你,系统中无空密码用户!!" echo "********************************************"else i=1 while [ $N -gt 0 ] do None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'` echo "------------------------" echo $None echo "必须为空用户设置密码!!" passwd $None let N-- done M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l` if [ $M -eq 0 ];then echo "恭喜,系统中已经没有空密码用户了!" elseecho "系统中还存在空密码用户:$M" fifi
三、网络服务安全要经常检查系统的物理环境,禁止那些不必要的网络服务;充分了解系统和服务软件是如何工作的;经常检查系统配置和安全策略,并注意每天查看安全日志。
Linux 系统对外提供强大、多样的服务,由于服务的多样性及其复杂性,在配置和管理这些服务时特别容易犯错误,另外,提供这些服务的软件本身也存在各种漏洞,所以,在决定系统对外开放服务时,必须牢记两个基本原则:
只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小。
将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险。
四、系统设置安全时刻留意安全站点公布的,与 Linux 系统和软件有关的最新安全漏洞和报告;及早发现系统存在的***漏洞,及时安装系统补丁程序。
4.1、限制控制台的使用
4.2、系统关闭Ping可以把指令添加到文件/etc/rc.d/rc.local中去。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4.3、禁止IP源路径路由五、文件系统安全对一些重要信息(例如系统配置信息)建立并完善备份机制;对一些特权账号的密码设置要谨慎。
5.1、文件权限去掉不必要的suid程序,可以通过脚本查看。
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;
5.2、备份与恢复定期对文件系统进行备份,可以将损失减小到最小程度。
服务器Linux系统安全升级相关推荐
- 使用linux集体升级系统,一:Linux系统的升级
一:Linux系统的升级 今天我们说说yum系统,我们知道linux系统自带的工具up2date可以用来升级,却要用yum呢.其实大家知道,up2date 慢且经常失去响应:死机的情况.所以我们还是试 ...
- 阿里云国际版云服务器Linux系统数据恢复操作步骤
在处理磁盘相关问题时,您可能会碰到操作系统中数据盘分区丢失的情况.本文介绍了Linux系统下常见的数据盘分区丢失的问题以及对应的处理方法,同时提供了使用云盘的常见误区以及最佳实践,避免可能的数据丢失风 ...
- mysql独立服务器_独立服务器linux系统mysql设置方法
独立服务器linux系统mysql设置方法: 一,如果您要用root身份使用您的mysql数据库,那么您可以直接将您的mysql数据库文件上传到:/usr/local/mysql/data目录下面,修 ...
- [Machine Check机制]X86服务器Linux系统对于MCE的Log解析
X86服务器Linux系统对于MCE的Log解析 Linux Log信息主要包括两部份内容: APEI的GHES(Generic Hardware Error Soure,通用硬件错误源)解析部分,对 ...
- 七日杀开服架设教程开服配置服务器搭建需要什么配置的服务器Linux系统
七日杀开服架设教程开服配置服务器搭建需要什么配置的服务器Linux系统 新开放世界僵尸游戏 <七日杀>是由The Fun Pimps Entertainment研发的集合第一人称射击.恐怖 ...
- Linux下nvidia压力测试,一种服务器linux系统下GPU压力测试的监控方法与流程
本发明属于服务器测试技术领域,具体涉及一种服务器linux系统下GPU压力测试的监控方法. 背景技术: 随着社会的快速发展,人们对高网络性能.快速存储.大量内存.超高计算能力的GPU的需求越来越大,产 ...
- 腾讯云服务器linux远程登录,腾讯云服务器Linux系统使用SSH工具登录远程教程
对于大部分网友而言,如果我们选择腾讯云服务器的时候系统用Windows,那大部分网友都会登录的,直接在我们平时使用的WIN电脑远程连接即可操作,而且对于这个可视化操作系统对于经常玩服务器的用户来说也不 ...
- 服务器linux系统支持php好,关于Linux服务器系统的七大优势,你知道几个?
Linux是开源的操作系统,主要支持PHP,在目前市场上Linux系统在互联网企业中使用率也是非常广泛的,具有不可或缺的作用,那么Linux服务器有哪些优势?总结了七点,你都知道吗? 1.开源:Lin ...
- 服务器linux系统安全加固设置方案
对于咱们运维来说,咱们的Linux系统其实就是运维的女生,其实就是运维的女神.比如今天我一来,我发现我们这的运维小哥就拿一个朵玫瑰花直接插在服务器上,我当时给我吓一跳,然后嘴里还神神叨叨的念叨着一些东 ...
最新文章
- 对于广泛依赖外部资源的应用程序,请考虑在多处理器计算机上启用网络园艺
- [Codeforces] Round #320 (Div.2)
- 表格检测开源网络推荐
- vSphere开发指南1——vSphere Automation API
- Python 发送邮件 和 发送带附件邮件
- 玻璃体定点注入(个人猜想)
- debug pricing calculation rfc call
- 【前端就业课 第一阶段】HTML5 零基础到实战(四)伪类与伪元素
- iOS开发UI篇-在UItableview中实现加载更多功能
- centos系统linux复制命令行,linux系统CentOS7中find命令使用
- sim7020c功耗_SIM7020C物联网NB-IOT模块 simcom代理
- JavaScript学习指南集锦
- 富途、小牛与亿航股价齐飞, “新三傻”是大泡沫还是好未来?
- 【成都站报名】美团点评、蚂蚁金服、腾讯专家共论前端热点技术
- 亚特兰蒂斯_亚特兰蒂斯的命运与可下载内容的作用
- Kmeans、Kmeans++、Birch和KNN四种聚类算法对二维坐标点的聚类分析对比实验
- 三器六垢_本初行者劉暢友居士浅谈如何学佛(三)
- 在控制台,打印出某个具体的变量,并监听其变化
- ceph-deploy源码分析(三)——mon模块 转
- QT报错:Gtk-Message:Failed to load module “gail“